Настройка WinServer 2008 R2
 

Приветствую!
Друзья, вышло так, что мне при минимуме знаний требуется настроить сервер. Окончательно погряз и запутался во всем, что Гугл услужливо мне предлагал, полагаю, что просто мои поисковые запросы неверны.

Вводная: Windows Server 2008 R2 Rus, только что установлен на RAID 10. В качестве антивируса - ESET Smart Securty 5 Business Edition. Две партиции - 200 гигов под систему, 790 под данные. Сервер стоит в небольшой локалке на 10-12 юзеров, никакого домена нет, на входе всю работу по маршрутизации делает Linksys 54GL под DD-WRT. Серверу прописан внутренний IP-адррес, который на роутере выведен в DMZ.

Задачи сервера: 1С для юзеров по RDP, веб-сервер, на котором будет крутиться CRM-система, принт-сервер, файлопомойка общего пользования. Удаленные юзеры работают либо под Win7, либо под Mac OS X.

Вопросов по этим поводам - море. Во-первых, стоит ли держать сервер в DMZ или лучше поднять на нем VPN? Сейчас мне по RDP удается подключиться только внутри локалки, снаружи не пропускает, хотя вроде в брандмауэре настроено все (возможно, это ESET виноват, пока что еще не все хитрости постиг). Во-вторых, как правильнее создать шаблон для новых юзеров, чтобы дать им доступ по RDP к 1С и некоторым приложениям (Офис, Adobe Reader и прочее офисное ПО), к принтерам, а также к файлопомойке как к простому сетевому хранилищу?

Прошу заранее извинить, если что-то из ваших разъяснений породит дополнительные вопросы. Также буду рад любым подсказкам и предложениям.

у вас есть внешние клиенты?
а в линксисе?
добавить в группу "Пользователи удалённого рабочего стола"

Да, менеджеры в командировках должны иметь доступ.
Не берусь утверждать, но я полагал, что перевод в DMZ полностью переводит все внешние коннекты на указанный IP. Если я ошибаюсь, буду очень благодарен за помощь.
В этом случае им будут доступны все пользовательские приложения? Хотелось бы автоматизировать добавление пользователя - сразу добавляется в нужные группы для RDP и доступа к файлам и принтерам.

1. При минимуме знаний просто не получится. Научить вас работать в рамках ответов форума тоже невозможно. Этой профессии нужно учиться. Минимально необходимый комплект учебников: MCITP: Server Administrator + Windows Server TCP/IP Protocols and Services.


2. Сразу бросается в глаза — вы говорите о какой-то помойке.
Это компания, обслуживающая мусорную свалку? Нет? Тогда не употребляйте слова подобного рода.

3. Наличие антивирусного монитора на сервере — на мой взгляд, криминал. Я бы позаботился о безопасности по-настоящему:
1. Строго! Наличие прав Администратора исключительно и безоговорочно только у администратора. Сам администратор обладает двумя учётными записями (рядовой и административной), причём административную применяет только по доказанной необходимости.
2. Обязательно! На всех машинах настроить политику Application Whitelisting (Software Restriction Policies или AppLocker).
3. Обязательно! Вовремя устанавливать обновления на систему и приложения. Для рабочих станций организовать WSUS.
4. Следует также настроить и прочие политики безопасности (например, Account Lockout).
Антивирусной программы в этом списке нет. Для внятного обеспечения всего упомянутого наличие домена обязательно.

4. Обеспечьте резервное копирование. Например, для включения Shadow Copies требуется всего пара щелчков, а помощь их при восстановлении данных неоценима. Например, не придётся бегать с криками "помогите, 1С зашифрован", как это делают абсолютно некомпетентные "администраторы", словившие вирус LockDir. Резервное копирование одними только Shadow Copies не ограничивается, если что.

5. Если вы не знаете, что такое DMZ, то оно вам не нужно. Удалённый доступ к RDP вполне обеспечивается простым перенаправлением порта на маршрутизаторе. Но я бы выбрал нестандартный порт и защитил RDP-соединения цифровыми сертификатами.

если у них Винды, можно попробовать настроить Direct Access.
Если ноутубуки - зашифровать...
я тоже не берусь утверждать, но у меня три сервера в DMZ - и каждый я настраивал вручную...
с правами простого пользователя. т.е. установить они ничего не смогут.

Я - некомпетентный администратор, даже не буду с этим пробовать спорить. Во всяком случае, это касается WinServer, который я вижу второй раз в жизни. Если потребуется - буду читать учебники, но потребуется ли мне в будущем админить этот сервер, пока неизвестно. То, что мне требуется его настроить - скорее форм-мажор, чем нормальная ситуация. Прошу считать это дисклаймером.

Помойка - это фактически обменник. Дольше 2 недель там живет только 10% файлов.

Антивирус на сервере вряд ли можно назвать криминалом. Однако все меры по предотвращению установки ПО кем-то, кроме администратора, будут приняты. Ваше предложение по политике разделения прав даже для админа совершенно справедливо, я уже это сделал.
Будьте добры, поподробнее. Загонять юзеров в сложности мне не требуется, на своих компах они вольны делать все (пока что).
Обновления ставятся абсолютно все, кроме разве что незначительных вроде обновления принтерных драйверов. Как на сервере, так и на станциях. В том числе и на невиндовых станциях.
Опять же, если можно - расскажите поподробнее, какие политики вы считаете необходимыми для сети вроде моей. И что они дадут. И что мне даст домен, как в нем себя поведут невиндовые машины.

У всех ноуты. Или под Win7, или под Mac OS. Есть еще и iPad, но это будем считать тоже макосью
Тогда придется в VPN - юзерам снаружи требуются и RPD, и CRM, которая работает только на IIS, и файлы.

смотря как их настроить. Linux и МАС OS отлично вводятся в домен.
Только если у вас один сервер - я не рекомендую вам домен. Сервер терминалов и контроллер домена - это ещё страннейший криминал (к тому же, требующий больших знаний для правильной настройки)

Сервер один, да. Больше не будет серверов. И его-то взяли под 1С, я просто стараюсь оградить его от чужих лапок и поставить на нем все, что требует постоянно работающей машины.

DMZ, проброс портов (хоть стандартных, хоть не стандартных), пользователи с ограниченными правами, настройка политики сервера.

О настройке политики сервера. Можно настроить так, что при входе на терминальный сервер у пользователя будет запускаться только программа 1С. Не будет рабочего стола, пуск и пр. Принтеры будут доступны в 1С.
К сожалению, я не помню как это всё настроить (там есть один момент, который позволяет обойти "скрытность")

Application Whitelisting — "белый список" разрешённых для запуска программ. Например, вы указываете "разрешаю запускать всё из папки Program Files и \\Server\Data\1C\1c.exe; всё остальное запрещено". Для пользователей это будет выглядеть так: приносимые ими на флешках или скачиваемые с интернетов программы запускаться не будут, будет работать только 1С, офис, Adobe. Для вас это будет выглядеть так: практически стопроцентная невозможность запуска вирусов с флешек и кэша браузера, а также никаких "левых" программ.

Если под "юзерами" вы имеете в виду пользователей, то "делать всё" равняется отсутствию безопасности. Всё — форматировать диски? Запускать вирусы? Удалять данные?
Под "сложностями" тогда будем понимать безотказную безвирусную работу компьютерной системы.



Необходимо настроить целый ряд политик и параметров безопасности. Откройте GPEdit.msc на одной машине и полистайте секции Computer Configuration, User Configuration. Как минимум, должен быть включён DEP (Data Execution Prevention), Account Lockout, уровень аутентификации LanManager поднят до NTLMv2 (запрещены LM/NTLM), включены цифровые подписи на SMB-сессии, включён ряд параметров аудита: успешные удаления документов из общих папок, неуспешных попыток входа и т.п.



Домен даёт два преимущества:
1. Централизованная регистрация учётных записей. Создал пользователя один раз, добавил в группы — он распознаётся на всех машинах сразу. Назначать привилегии, доступ в такой системе гораздо проще. Без домена вам придётся регистрировать каждого пользователя на каждой рабочей станции, а на сладкое останется управление параметрами сотен учётных записей.
2. Централизованное управление. Включил, к примеру, AppLocker один раз — все машины подчинились. Указал в доменной политике установить на все машины скайп — все исполнили. Указал требуемые для 1С региональные настройки один раз — у всех пользователей они установились.

Если какая-то сторонняя система не поддерживает домены, то зачем тогда вам такая система?
Криминала совмещения терминала с контроллером не вижу.

Цитата:

Цитата WindowsNT а на сладкое останется управление параметрами сотен учётных записей. »

Цитата:

Цитата Moor Сервер стоит в небольшой локалке на 10-12 юзеров »

|

Цитата:

Цитата WindowsNT Криминала совмещения терминала с контроллером не вижу. »

удачи...

Мне попросить директора сменить его МакБук на что-нить другое? :)
Насчет сотен вы погорячились, их 12 максимум. Но в остальном звучит вкусно, хотя и не совсем исполнимо. Один менеджер постоянно в 700 км от нас, другие болтаются кто где, хоть и в офисе большей частью. Я согласен, что домен был бы очень хорош, только что почитал обзор прелестей, но выполнить это трудно. Разве что я смогу удаленно ввести в домен компы, которые сейчас вне пределов досягаемости и доступны только через LogMeIn.
Кстати, почему вы не рассматриваете VPN как вариант вообще? Во всяком случае, не упомянули.

Не требуется. Кроме 1С, пользователю однозначно для работы потребуются несколько офисных программ, браузер, скайп и еще кое-какое барахлишко, иногда нестандартное.

Директора можно просить, можно не просить. Вот товарищ выше говорит, что MacOS умеет работать с доменами — пусть расскажет, как это делается. Проблемы почти нет, видимо (за исключением неуправляемости таковой системы с помощью Group Policy).


10 пользовательских учётных записей + 2 администраторских умножаем на 12 машин = 144 учётные записи. Конечно, можно подискутировать на тему "а зачем мне каждого-каждого пользователя регистрировать на каждой-каждой машине", но в результате без домена так оно и случится. Либо, что более вероятно, будет создан универсальный пользователь типа Менеджер, что приведёт к невозможности различать людей. В принципе, даже если не задействовать в домене абсолютно все машины, можно охватить хотя бы существенную часть.


Раз требуется CRM через IIS, то делайте VPN. Это также позволит дотянуться домену до конечных точек. Главное, не выставляйте все-все порты наружу посредством DMZ.

он поддерживает домен. Но я пользуюсь не штатным инструментом, а PowerBroker Identity Services
платная PowerBrokerDesktops это позволяет. Конечно, не в том объёме как штатные в Windows

Вы только что меня в ступор загнали. У пользователей персональные машинки, ноуты. Десктопы только у буха и секретаря. Я так вообще личным компом пользуюсь. Нет в сети ни одной машины с более чем одной пользовательской учеткой. При смене персонала новому работнику передаются все файлы предыдущего. Зачем на каждой машине заводить все учетки?

Если VPN, то о DMZ нет и речи, на DD-WRT все для VPN предусмотрено.

Во-первых, на рабочих станциях зачастую бывают необходимые другим пользователям ресурсы (файлы, принтеры). Чтобы кто-то по сети мог получить доступ, требуется учётная запись .) В типовой сети предприятия это приводит к многократным дублированиям учётных записей по всей сети.

Во-вторых, в рамках жизненного цикла рабочих станций могут появляться задачи смены рабочего места (например, Вася пересел на компьютер Серёжи, так как его компьютер сломался). Не факт, что это ваша ситуация.

Не наш случай. Принтеры только на одном компе сейчас, их всего два. Файлами обмениваются либо по почте/скайпу, либо некоторые потребные лежат на NAS файл-сервере

Такого не бывает практически. Из практики здесь подобное случалось только при покупке нового компа, это было 1 раз за год.

В общем, я так понимаю, мой вариант - VPN. Он обеспечит все требующееся независимо от оси и местонахождения клиентской машинки. Тогда задача сводится к следующему: поднять VPN-сервер (вроде мануал уже нашелся), создать учетки (RDP с ограниченным набором софта и отдельными папками для личных файлов на другой партиции), расшарить в локалку одну директорию и два принтера.

как можно обойти CAL лицензирование на терминальном сервере windows 2008? 11 клиентов

Думаю, что в Вашем случае, с remote desktop anywhere, технология Remote Desktop Gateway будет предпочтительнее, чем VPN.

Спасибо, изучу эту возможность, раньше не сталкивался. Можете в двух словах описать преимущества?

Главное преимущество перед VPN - простота в настройке. Вернее настраивать придется лишь Linksys.
Подробнее - по RDP вам сейчас не удается подключится извне по причине отсутствия настроек на Linksys. Настроите Linksys - будет доступ извне так же как из локалки. Ваша задача настроить маппинг на роутере. Скажем так:
1. Внутренний адрес сервера с 1С - 192.168.1.1
2. Внешний статический адрес - 193.200.100.1
2. RDP подключение использует порт 3389.

Имеем подключение извне которое стучится на 193.200.100.1 3389, которое необходимо перенаправить на 192.168.1.1 на тот же порт.

требуется что-то вроде ip nat inside source static tcp 192.168.1.1 3389 int FastEthernet1 3389

В итоге получаем, что все запросы извне на адрес 193.200.100.1 3389 будут переадресованы на ваш сервер 192.168.1.1.
Адреса я указал чисто к примеру, порты тоже, внешний интерфейс на линксиссе тоже..

Но тут же опять возвращаемся к серверу с рабочей Active Directory... Все юзеры имеею учетки, мемберы remote desktop...